Решена Подозрения на следы и хвосты от вируса после попытки удаления через AV block remover

[Netlighter]

Подцепил вирус на днях через торрент. По описанию понял, что это тот вирус, который может вылечить AVbr. После его использования вирус перестал закрывать браузер и диспетчер и блокировать антивирусы, но осталась проблема. Проводник при работе с файлами жутко тормозит и постоянно зависает намертво, так же постоянно перезагружается и тормозит всю систему. В диспетчере нагружает процессор от 15 до 20 процентов и вместо стандартного значка папки имеет какую-то непонятную иконку с буквой N. Прошу помощи, так как не сталкивался с подобным ранее!

 

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

[Netlighter]

Прошу прощения, неотложные дела, переоткрою тему, когда вернусь за рабочий компьютер

 

[Netlighter]

Спасибо, что не закрыли тему. Вот архив отчетов.

 

[Netlighter]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

отчет прикрепил выше, что-то еще требуется выполнить?

 

[Sandor]

Наберитесь терпения, пожалуйста. Всё-таки пока продолжаются выходные, а помощь здесь оказывается в свободное от других занятий время.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
  HKU\S-1-5-21-3440359738-2011819268-31991000-1001\...\MountPoints2: {4e064bc1-9231-11eb-8106-1c1b0d94718c} - "E:\HiSuiteDownLoader.exe" 
  HKU\S-1-5-21-3440359738-2011819268-31991000-500\...\RunOnce: [Application Restart #0] => C:\WINDOWS\System32\Taskmgr.exe [1501304 2022-07-14] (Microsoft Windows -> Microsoft Corporation)
  HKU\S-1-5-21-3440359738-2011819268-31991000-500\...\RunOnce: [Application Restart #1] => C:\WINDOWS\regedit.exe [ ]
  IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\system32\systray.exe
  IFEO\mpcmdrun.exe: [Debugger] C:\WINDOWS\System32\systray.exe
  IFEO\MusNotification.exe: [Debugger] C:\Windows\system32\systray.exe
  IFEO\MusNotifyIcon.exe: [Debugger] C:\Windows\system32\systray.exe
  IFEO\vdsldr.exe: [Debugger] cmd /q Skip TPM Check on Dynamic Update (c) AveYo, 2021 /d/x/r>nul (erase /f/s/q %systemdrive%\$windows.~bt\appraiserres.dll&md 11&cd 11&ren vd.exe vdsldr.exe&robocopy "../" "./" "vdsldr.exe"&ren vdsldr.exe vd.exe&start vd -Embedding)&rem;
  GroupPolicy: Restriction ? <==== ATTENTION
  Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
  AlternateDataStreams: C:\vol0:err [1252]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5162]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Netlighter]

Простите за нетерпеливость, разнервничался из-за вируса. Вот отчет.

Наберитесь терпения, пожалуйста. Всё-таки пока продолжаются выходные, а помощь здесь оказывается в свободное от других занятий время.

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction <==== ATTENTION
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction <==== ATTENTION
  HKU\S-1-5-21-3440359738-2011819268-31991000-1001\...\MountPoints2: {4e064bc1-9231-11eb-8106-1c1b0d94718c} - "E:\HiSuiteDownLoader.exe"
  HKU\S-1-5-21-3440359738-2011819268-31991000-500\...\RunOnce: [Application Restart #0] => C:\WINDOWS\System32\Taskmgr.exe [1501304 2022-07-14] (Microsoft Windows -> Microsoft Corporation)
  HKU\S-1-5-21-3440359738-2011819268-31991000-500\...\RunOnce: [Application Restart #1] => C:\WINDOWS\regedit.exe [ ]
  IFEO\CompatTelRunner.exe: [Debugger] C:\Windows\system32\systray.exe
  IFEO\mpcmdrun.exe: [Debugger] C:\WINDOWS\System32\systray.exe
  IFEO\MusNotification.exe: [Debugger] C:\Windows\system32\systray.exe
  IFEO\MusNotifyIcon.exe: [Debugger] C:\Windows\system32\systray.exe
  IFEO\vdsldr.exe: [Debugger] cmd /q Skip TPM Check on Dynamic Update (c) AveYo, 2021 /d/x/r>nul (erase /f/s/q %systemdrive%\$windows.~bt\appraiserres.dll&md 11&cd 11&ren vd.exe vdsldr.exe&robocopy "../" "./" "vdsldr.exe"&ren vdsldr.exe vd.exe&start vd -Embedding)&rem;
  GroupPolicy: Restriction ? <==== ATTENTION
  Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
  AlternateDataStreams: C:\vol0:err [1252]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5162]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Sandor]

Что из перечисленных проблем ещё осталось?

 

[Netlighter]

По ощущениям компьютер стал работать так же шустро, как и до вируса (возможно даже быстрее), потыкал проводник, не зависает, не тормозит систему. Единственное, что значок проводника все еще отображается буквой N, в остальном проблем не наблюдаю

 

[Sandor]

Попробуем так это исправить:

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  SystemRestore: On
  cmd: DISM.exe /Online /Cleanup-image /Restorehealth
  cmd: sfc /scannow
  cmd: winmgmt /salvagerepository
  cmd: winmgmt /verifyrepository
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  cmd: "%WINDIR%\SYSTEM32\lodctr.exe" /R
  cmd: "%WINDIR%\SysWOW64\lodctr.exe" /R
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически. Выполнение скрипта может занять некоторое время, дождитесь окончания.

Подробнее читайте в этом руководстве.

 

[Netlighter]

Ничего не поменялось. Решил проверить ярлыки, оказалось, что это был ярлык от какой-то рекламной ссылки, которую когда-то подкинул вирус. Удалил ярлык, значок проводника вернулся в норму. Только вот тут и вернулась проблема - При удалении ярлыка проводник на несколько секунд зависает намертво (как и было при вирусе). При этом сам по себе он все равно стал работать куда стабильнее, чем раньше.

 

[Sandor]

Ничего не поменялось

Тем не менее кое-что было исправлено:

Windows Resource Protection found corrupt files and successfully repaired them.

Сделаем ещё такую проверку:
Скачайте Malwarebytes v.4 (или с зеркала). Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.

 

[Netlighter]

Кажется, обе ссылки нерабочие

 

[Netlighter]

Получилось, вот результаты сканирования

 

[Sandor]

Что относится к kms активатору можете оставить, остальное удалите (поместите в карантин).
После этого перезагрузите компьютер и соберите ещё раз лог полного сканирования.

 

[Netlighter]

Вот отчет. Сразу после загрузки системы попробовал удалить файл. Первый раз проводник немного подвис, следующие файлы удалялись нормально.

 

[Netlighter]

Система хорошо разгрузилась, даже странная проблема того, что второй диск по 10-20 минут был нагружен под 100% прошла. Мне кажется, теперь все работает корректно

 

[Sandor]

Вот и хорошо. Завершаем:

1. Деинсталлируйте Malwarebytes.

2.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

3.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Netlighter]

Готово

 

[Sandor]

-------------------------- [ SecurityUtilities ] --------------------------
Sandboxie-Plus v1.3.2 v.1.3.2 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Git v.2.35.1.2 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2019 - ru-ru v.16.0.12325.20298 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Oracle VM VirtualBox 6.1.22 v.6.1.22 Внимание! Скачать обновления
Node.js v.12.16.3 Внимание! Скачать обновления
^Если Вам нужна LTS версия, проверьте обновления на странице скачивания вручную.^
NVIDIA GeForce Experience 3.26.0.154 v.3.26.0.154 Внимание! Скачать обновления
Python 3.9.7 (64-bit) v.3.9.7150.0 Внимание! Скачать обновления
Python 3.10.6 (64-bit) v.3.10.6150.0 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.72.2 Внимание! Скачать обновления
Python 3.8.3 (64-bit) v.3.8.3150.0 Внимание! Скачать обновления
Foxit Reader v.8.3.2.25013 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
WinSCP 5.19 v.5.19 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
Total Commander 64-bit (Remove or Repair) v.9.51 Внимание! Скачать обновления
WinRAR 5.80 (64-разрядная) v.5.80.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.0.0.309 Внимание! Скачать обновления
Zoom v.5.12.8 (10232) Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
BitTorrent client Внимание! Клиент сети P2P с рекламным модулем!.
qBittorrent 4.4.2 v.4.4.2 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 241 (64-bit) v.8.0.2410.7 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u351-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
Audacity 3.0.5 v.3.0.5 Внимание! Скачать обновления
VLC media player v.3.0.16 Внимание! Скачать обновления
K-Lite Mega Codec Pack 15.4.0 v.15.4.0 Внимание! Скачать обновления
Spotify 1.1.86.857 v.1.1.86.857 Внимание! Скачать обновления
QuickTime 7 v.7.79.80.95 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
---------------------------- [ UnwantedApps ] -----------------------------
Reg Organizer v.8.55 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.
Unity Web Player v.5.3.8f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Yandex taskbar button v.2.2.1.54 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
VKMusic 4 v.4.84.4 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.


По возможности исправьте перечисленное.

Читайте Рекомендации после удаления вредоносного ПО